Vous êtes sur la page 1sur 7

Principales áreas de la auditoría informática.

Parte II

Anthuan Francisco Pizarro Olmos

Auditoria Informática

Instituto IACC

08 de abril de 2019
Desarrollo

Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor

opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos

mínimos que se deben cumplir tienen relación con respaldo de energía y sistemas contra

incendios.

a. Para cada uno de los requerimientos del enunciado construya un checklist

de al menos 3 preguntas a utilizar en una auditoría de seguridad y otro para

una auditoría de data center y recuperación de desastres. Compare las

semejanzas que presenta cada checklist para los diferentes tipos de

auditoría.

R.- Checklist Auditoria de seguridad:

Del análisis del enunciado inicial se desprende que esta auditoria busca evaluar la seguridad física

de las instalaciones, por lo tanto, este control tiene que ver con este aspecto de la seguridad, y mis

preguntas serían las siguientes;

- ¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del suelo

posible?

- ¿Cuenta la instalación con acceso seguro y expedito en caso de incendio?

- ¿Está el sistema a protegido de las condiciones climáticas y de altas o bajas

temperaturas?

- ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con

poco tráfico humano?

- ¿Cuenta la instalación aislada con una cerradura o sistema de alarma para que sólo

personal autorizado acceda?


- ¿Están las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina?

- ¿Cuenta el sistema eléctrico de la instalación con cableado a tierra?

- ¿Están los interruptores del terminal bloqueados o protegidos?

- ¿Cuenta la instalación con sistema de detección de incendios?

- ¿Cuenta la instalación con red seca y red húmeda que facilite el trabajo de bomberos

en caso de incendio?

Checklist de auditoría de data center y recuperación de desastres.

Este control se enfoca en la seguridad del datacenter y al plan de contingencias y recuperación de

desastres.

- ¿Cuenta la instalación con energía de respaldo que garantice la operatividad del sistema?

- ¿Cuenta el sistema con una segunda instalación de respaldo de datos que no sea

afectada en caso de incendio o desastre?

- ¿Cuenta el sistema eléctrico con sistemas de medición de temperatura de cableado?

- ¿Cuenta el sistema con un plan de apago de incendios, diseñado considerando el


equipamiento presente dentro de la instalación?

- En caso de incendio o desastre, ¿hay sistemas de respaldo que garanticen la seguridad


de los datos?

- En caso de incendio o desastre, ¿se cuenta con los recursos y equipos necesarios para
poner el sistema en funcionamiento rápidamente?

Comparación;
Al realizar la comparación de ambos checklists, podemos apreciar que como
punto en común se encuentra garantizar la seguridad de los datos, bienes de la empresa y
funcionamiento del servicio. Estos tres puntos resultan vitales para una organización de TI, es
por estos que las auditorias, controles y planes de recuperación buscan limitar la perdida
material, lógica y de tiempo.
b. La evaluación debe considerar un plan de contingencias y recuperación de

desastres usando un segundo sitio. Se le solicita entonces que construya un

documento que detalle las acciones mínimas a realizar en caso de desastre

en función de los requerimientos mencionados en el enunciado.

R.- Según el plan de contingencias, debemos mantener una segunda instalación para garantizar el

resguardo de los datos en caso de desastre, esta segunda instalación debe tener servidores con

conexión activa al servidor principal, es decir, que estos se encuentren en modo espejo, de tal

forma, de contar con el total de la información en ambas instalaciones.

Ambos servidores deben mantener respaldos programados, es fácil, pensar que esto no es

necesario si estamos respaldando desde el servidor principal, sin embargo, la recuperación de un

servidor es mucho más rápida cuando contamos con los respaldos a nivel de máquina y datos.

Nuestra segunda instalación debe monitorizada de forma regular para garantizar su correcto

funcionamiento. Es recomendable que esta instalación, además del enlace de nuestro proveedor

principal, mantenga enlace con segundo proveedor en caso que primero sea también afectado por

el desastre.

Las reglas e implementaciones de nuestra primera instalación deben ser replicadas en la segunda,

además en ambas instalaciones debe encontrarse documentada toda la información necesaria para

un correcto funcionamiento y comprensión de los controles, monitoreo, planes de seguridad, etc.


Se le ha solicitado conducir una auditoría de redes de una empresa de cosméticos que

considera en su alcance solo los dispositivos perimetrales: En este caso, ¿la restricción de

servicios del router perimetral puede considerarse como parte la auditoría? ¿Por

qué?

R.- Al momento de realizar una auditoría de redes vemos que esta puede ser interna o externa.

Al referirnos a una auditoria de redes interna hablamos de la configuración de los segmentos de

red, la topología utilizada, protocolos establecidos, etc.

Una auditoría externa, considera firewalls, reglas y configuraciones, tanto de este como del router

o switch principal, por lo tanto, el alcance de la revisión de equipos perimetrales se puede

considerar como parte de esta al momento de realizar la auditoria. Aun considerando que los

equipos perimetrales, pueden ser administrados en ocasiones por el proveedor de internet, resulta

necesario conocer las reglas y el nivel de seguridad que estos poseen, para así evitar posibles

accesos no deseados por reglas que no han sido implementadas por el proveedor.
Usted se encuentra realizando una auditoría de seguridad en una empresa de comercio

electrónico que requiere que sus servicios estén disponibles las 24 horas del día y todos

los días de la semana. ¿Es válido como objetivo de la auditoría determinar la efectividad

del plan de continuidad de negocio?

R.- Considerando que la empresa que solicita la auditoria necesita entregar un servicio los 365 días

del año, las 24 horas del día, resulta totalmente necesario auditar todos los aspectos que puedan

afectar este requerimiento de funcionamiento.

El plan de continuidad del negocio resulta muy relevante para el requerimiento de este cliente en

particular, ya que todo sistema puede sufrir fallas de cualquier tipio que detengan los servicios y

en un caso de estos es este plan el que debería entregar las directrices a seguir para poner el servicio

disponible en el menor tiempo posible, por lo cual su efectividad debe ser comprobada.
Bibliografía

Contenidos para semana 8 – Auditoria informática – IACC 2019

Contenidos adicionales para la semana 8 – Auditoria informática – IACC 2019